Что такое пограничный маршрутизатор
Обновлено: 21.11.2024
Вы когда-нибудь задумывались, что такое пограничные маршрутизаторы? Пограничные маршрутизаторы позволяют вам контролировать все ваши домашние сети и устройства, которые к ним подключаются. Пограничные маршрутизаторы предназначены для интенсивного использования, как правило, в коммерческих условиях, таких как рестораны или отели, где одновременно происходит много операций.
Пограничные маршрутизаторы
В ячеистой сети потоков граничные маршрутизаторы можно найти на границе сети потоков и внешней сети. Пограничные маршрутизаторы могут обрабатывать большие объемы данных и обеспечивать бесперебойную работу, поскольку не все пограничные маршрутизаторы работают одинаково.
Thread предоставляет разработчикам Интернета вещей различные варианты реализации функций пограничного маршрутизатора, в том числе следующие:
- Функция, включенная в готовый продукт (например, термостат, посудомоечная машина, домашние маршрутизаторы Wi-Fi и т. д.).
- Отдельный продукт, являющийся дополнением к конечному продукту (продуктам), может быть создан собственными силами или приобретен в качестве белой этикетки у сторонней компании.
- Использовать граничный маршрутизатор, уже представленный на рынке и разработанный другой компанией (автономное устройство, шлюз, кабельный модем и т. д.).
Преимущества пограничных маршрутизаторов
Большинство пограничных маршрутизаторов также оснащены встроенными функциями безопасности, такими как брандмауэры, поэтому каждый может оставаться защищенным, оставаясь в сети. Изучая различные модели пограничных маршрутизаторов, вы должны выбрать тот, в котором используются самые современные технологии.
Например, предположим, что у вас есть офис с одним маршрутизатором и несколькими подключениями Wi-Fi. В этом случае граничный маршрутизатор создаст третий канал, который позволит всем трем существующим каналам работать одновременно без каких-либо конфликтов или сбоев в обслуживании.
Пограничные маршрутизаторы поддерживают все основные типы подключения, такие как Ethernet, DSL, кабельное и беспроводное подключение. Поэтому независимо от того, какое у вас подключение к вашему интернет-провайдеру, для него есть пограничный маршрутизатор. Большинство пограничных маршрутизаторов также оснащены встроенными точками беспроводного доступа, поэтому каждый компьютер или устройство в офисе может без проблем подключиться к сети Wi-Fi.
В компаниях пограничные маршрутизаторы необходимы как часть их бизнес-инфраструктуры, поскольку в наши дни они играют важную роль при настройке сетей в зданиях. Пограничный маршрутизатор гарантирует, что у каждого будет высокая скорость из любой точки офисного здания, что сделает работу намного более доступной.
Как пограничные маршрутизаторы помогают в сетевой безопасности LOT
- Thread основан на протоколе IPv6, поэтому он может одновременно обрабатывать несколько потоков трафика на уровне приложений.
- Маршрутизаторы потоков используют IP-маршрутизацию для перемещения IP-трафика в сеть потоков и из нее.
- Устройства, подключенные к глобальной сети, могут получать доступ к сетевым службам потоков через структуру IP-маршрутизации граничного маршрутизатора.
- Узлы сети потоков могут быть подключены к другим сетям или облаку с помощью граничных маршрутизаторов.
Кто использует пограничные маршрутизаторы
Каждой компании нужны пограничные маршрутизаторы, потому что это лучший способ обеспечить бесперебойную работу всех сотрудников. Пока у вас есть граничные маршрутизаторы, не будет проблем с задержкой или скоростью соединения, когда люди пытаются работать из удаленных мест.
Типы пограничных маршрутизаторов
Mesh-сети потоков
Пограничные маршрутизаторы, позволяющие подключать локальную сеть или сеть потоков напрямую к существующему пограничному маршрутизатору глобальной сети для пограничных маршрутизаторов, поддерживающих пограничный маршрутизатор. В этом случае сеть потоков будет работать как расширение глобальной сети, и для всех пограничных маршрутизаторов в вашей ячеистой сети потоков потребуется только один граничный маршрутизатор.
VPN-туннель
Пограничные маршрутизаторы также обеспечивают безопасное подключение к другому сайту через виртуальную частную сеть (VPN). Этот тип пограничного маршрутизатора обеспечивает безопасность путем шифрования данных перед их отправкой через Интернет или сеть потоков.
Граница Ethernet
Эти пограничные маршрутизаторы не оборудованы для прямого подключения к существующему пограничному маршрутизатору WAN. Тем не менее, у них есть несколько портов для подключения устройств Thread в вашем доме. До сих пор ведутся споры о том, как будут использоваться граничные маршрутизаторы в будущем.
Но на данный момент, если у вас есть бизнес с несколькими пограничными устройствами или он находится за пределами вашей домашней сети, вероятно, стоит изучить варианты пограничного маршрутизатора.
Типы протоколов пограничных маршрутизаторов
Один из первых вопросов, который вы должны задать себе при поиске пограничных маршрутизаторов, — это тип протокола, который использует каждое пограничное устройство. Наиболее распространены три типа: Thread, Zigbee и Z-Wave.
Каждый из них имеет свои преимущества, но все они могут позволить вам одновременно управлять несколькими устройствами с помощью одной команды с помощью голосовых команд Go ogle Assistant или Amazon Alexa через Wi-Fi без какой-либо сложной настройки кода.
Зигби
Один из самых популярных протоколов для пограничных маршрутизаторов — Zigbee. Он существует на рынке более десяти лет, но изначально разрабатывался как датчики, а не пограничные маршрутизаторы. Этот протокол позволяет вашему пограничному маршрутизатору обмениваться данными с широким спектром продуктов от разных производителей, включая светильники Philips Hue, которые используют Wi-Fi в качестве основного протокола связи.
Тема
Thread border router. Этот протокол был создан Nest Labs, но с тех пор их выкупил Google. Этот протокол создает сеть, аналогичную ячеистым сетям ZigBee, что означает, что он может создать одну обширную сеть, охватывающую весь дом или здание, вместо того, чтобы иметь несколько отдельных точек подключения, как это делает Wi-Fi.
Это также дает вам больший контроль над самим пограничным маршрутизатором, поскольку его не нужно постоянно подключать к сетевой розетке; вместо этого он будет разряжаться, как и большинство умных продуктов в наши дни.
Это также очень хорошо работает с другими устройствами, которые вы хотите подключить через граничные маршрутизаторы, например, производства Nest или Samsung SmartThings.
Z-волна
Последний — пограничный маршрутизатор Z-Wave. Это более старая технология, чем ZigBee или Thread, но в последнее время она быстро расширяется. Пограничные маршрутизаторы Z-Wave существуют уже некоторое время и подключаются ко многим устройствам других производителей, включая телевизоры Samsung.
Советы перед покупкой пограничных маршрутизаторов
Несколько пограничных маршрутизаторов могут выполнять эту работу, но все они сильно различаются в зависимости от индивидуальных потребностей и бюджета. Более дорогие граничные маршрутизаторы, как правило, упрощают работу, объединяя все функции в одном устройстве.
Более дешевым граничным маршрутизаторам потребуются отдельные блоки для каждой функции, поэтому важно знать, что нужно вашему бизнесу, прежде чем принимать какие-либо решения. Если вы ошибетесь, это может стоить гораздо больше денег, чем необходимо, если некоторые функции не используются часто после покупки.
Пограничный маршрутизатор потока объединяет сеть потока с другими сетями на основе IP, как Wi-Fi или Ethernet. Для сети Thread требуется пограничный маршрутизатор для подключения к другим сетям.
Пограничный маршрутизатор потоков позволяет поддерживать доступные функции:
- Двунаправленное IP-соединение между сетями Thread и Wi-Fi/Ethernet.
- Двунаправленное обнаружение службы через mDNS (по каналу Wi-Fi/Ethernet) и SRP (по сети Thread).
- Инфраструктура Thread-over, объединяющая разделы Thread по ссылкам на основе IP.
- Ввод во внешний внешний поток (например, голосовой телефон) для аутентификации и присоединения устройства потока к сети потока.
Реализация пограничного маршрутизатора OpenThread называется пограничным маршрутизатором OpenThread (OTBR) и поддерживает функцию радиосопроцессора (RCP) . При выборе платформы учитывайте возможность использования RCP:
- Больше ресурсов: OpenThread может использовать ресурсы хост-процессора, которые обычно намного больше, чем предоставляет SoC 802.15.4.
- Более экономично: минимизируйте требования к ресурсам на SoC 802.15.4, что может показаться более экономичным решением.
- Легко отлаживать: поскольку большая часть обработки происходит на хост-процессоре, вы можете использовать более мощные инструменты отладки на хост-процессоре.
- Более стабильная прошивка SoC 802.15.4: RCP реализует только суб-MAC и PHY, уменьшая скорость, с которой SoC 802.15.4 требует обновлений прошивки.
- Упрощенная интеграция с сетевым стеком хоста IPv6: запуск OpenThread на хосте требует более полной интеграции со стеком хоста IPv6.
Особенности и услуги
OTBR включает в себя ряд функций, в том числе:
- Веб-интерфейс для настройки и управления
- Thread Border Agent для поддержки отправления отправления
- Делегирование префикса DHCPv6 для получения префиксов IPv6 для сети Thread
- NAT64 для подключения к сетям IPv4
- DNS64, чтобы возможное устройство Thread инициировало связь по имени с сервером только для IPv4.
- Драйвер поверхности потока, использующий встроенную функцию OpenThread
- Поддержка докера
Услуги пограничного маршрутизатора
ОТБР определяет услуги:
- mDNS Publisher — разрешает внешне уполномоченному сайту OTBR и связанную с ним сеть Thread.
- Генератор PSKc — для генерации ключей PSKc
- Веб-служба — веб-интерфейс для управления сетевыми потоками.
Сторонние компоненты для службы Border Router Services включают Simple Web Server и Material Design Lite для структуры веб-интерфейса.
Брандмауэр OTBR
OTBR использует iptables и ipset для реализации следующих правил фильтрации входящего трафика:
- Блокировать входящие пакеты, инициированные источниками адресов On-Link, например адресами Off-Mesh Routable (OMR) и Mesh-Local на основе префиксов.
- Блокировать входящие одноадресные пакеты, адрес назначения которых не является адресом OMR или одноадресным адресом домена (DUA).
- Блокировать входящие одноадресные пакеты, исходный адрес или адрес назначения Link-Local. Обратите внимание на то, что это правило повторяется и не обнаруживается.
Если не указано иное, содержимое этой страницы предоставляется по лицензии Creative Commons Attribution 4.0, а образцы кода — по лицензии Apache 2.0. Подробнее см. в Правилах сайта Google Developers. Java является зарегистрированным товарным знаком Oracle и/или ее дочерних компаний. Thread является зарегистрированным товарным знаком Thread Group, Inc.
Как упоминалось ранее, OSPF использует области для ограничения требований к памяти и ЦП. Маршрутизатор, который может находиться в одной области, называется внутренним маршрутизатором, а маршрутизатор в нескольких областях называется граничным маршрутизатором области. Маршрутизатор, который также является частью другого домена маршрутизации, называется пограничным маршрутизатором области автономной системы (ASBR). Наконец, есть еще одна область в OSPF, которая обычно присутствует во всех сетях — магистральная область или область, обозначенная как область 0.
Области используются для предотвращения резкого увеличения количества обновлений состояния ссылок. Флуд и вычисление алгоритма Дейкстры на маршрутизаторе ограничены изменениями в пределах области. Все маршрутизаторы в пределах области имеют точную базу данных состояния канала. Маршрутизаторы могут иметь более одного типа маршрута OSPF, как показано на рис. 6.5.
На рис. 6.5 показаны три области: область 0 (магистральная), область 1 и область 2. Маршрутизаторы с R1 по R4 находятся в области 0, маршрутизаторы с R5 по R7 — в области 1, а маршрутизаторы с R8 по R10 находится в области 2. Все маршрутизаторы только в пределах одной области называются внутренними маршрутизаторами. В области 0 к магистральным маршрутизаторам (также называемым внутренними маршрутизаторами) относятся R1 и R3, поскольку эти два маршрутизатора подключаются только к одной области. Маршрутизаторы, подключенные к нескольким областям, называются пограничными маршрутизаторами областей (ARB). На рис. 6.5 маршрутизаторы R2, R4, R5, R8 и R9 являются граничными маршрутизаторами области. Маршрутизаторы, подключающиеся к внешним доменам маршрутизации, являются пограничными маршрутизаторами автономной системы (ASBR). На рисунке 6.5 маршрутизатор с именем R10 можно классифицировать как ASBR.
Информация о маршрутизации, которой обмениваются различные типы маршрутизаторов OSPF, называется следующим образом:
► Ссылки на маршрутизаторы — отправляются всеми маршрутизаторами. Описывает состояние и стоимость собственных ссылок маршрутизатора.
► Сетевые ссылки — создаются маршрутизаторами, использующими одну и ту же среду, например Ethernet или Token Ring. Отправлено внутренними маршрутизаторами.
► Сводные ссылки — отправляются только ABR. Описывает сети с другими областями, но в той же автономной системе
► Внешние ссылки — отправляются только пользователями ASBR. Описывает сети с внешними маршрутизаторами, не входящими в одну и ту же автономную систему. Внешние маршруты могут быть внешними типа 1 или внешними типа 2. Разница между этими двумя типами заключается в способе расчета стоимости (метрики) маршрута. Стоимость маршрута типа 1 определяется путем сложения внешней стоимости и внутренней стоимости, используемых для достижения маршрута. Стоимость маршрута типа 2 всегда равна внешней стоимости, поскольку внутренняя стоимость не имеет значения. Маршруты OSPF типа 1 всегда предпочтительнее маршрутов типа 2 для одного и того же пункта назначения, поскольку стоимость всегда будет ниже.
Есть еще два типа областей, которые можно определить в доменах OSPF: тупиковые и не очень тупиковые области (NSSA). Подобно обсуждавшимся ранее областям, эти типы областей используются для уменьшения требований к памяти и ЦП в сетях OSPF. Тупиковая область — это место, где у вас есть один порт входа и выхода. Эта настройка помогает уменьшить рекламу в области и магистрали. Не столь тупиковые области (NSSA) позволяют объявлять внешние маршруты, но также имеют те же характеристики, что и тупиковые области. Как упоминалось ранее, внешние маршруты — это сети, полученные из другого протокола маршрутизации, который был перераспределен в OSPF.
Все маршрутизаторы в одной области должны иметь хотя бы один маршрутизатор, подключенный к магистральной области, чтобы маршруты OSPF можно было внедрить в таблицу маршрутизации. Если существует ситуация, подобная той, что показана на рис. 6.6, вы можете использовать виртуальную ссылку. Виртуальный канал может преодолеть ограничение, связанное с необходимостью подключения к магистральной сети, путем создания соединения между областями, не связанными напрямую с магистральной областью OSPF 0.0.0.0. Однако это не лучшее решение, и обычно оно используется только на этапе миграции. Для сети, показанной на рис. 6.6, требуется виртуальный канал.
На рис. 6.6, маршрутизаторы в области 2 не смогут видеть магистральную область и наоборот, поскольку в OSPF все области должны быть подключены к магистральной сети. В такой ситуации вы можете использовать один из двух вариантов, чтобы обойти ограничение, связанное с невозможностью подключения удаленных областей к магистральной области OSPF или к маршрутизатору ABR. Вы можете установить связь между областью 2 и магистралью или настроить виртуальную связь между областью 2 и магистралью.
Виртуальные ссылки используются для двух целей:
► Связывание области, которая не имеет физического подключения к магистрали.
► Исправление магистрали в случае разрыва области 0.
Сети, полученные от маршрутизаторов в той же области, называются внутриобластными маршрутами, а сети, полученные через другие области, называются межобластными маршрутами. Маршрутизаторы Cisco всегда выбирают внутризоновый маршрут, а затем межобластной, а затем внешние сети.
Граница (или периметр) организации является наиболее важным средством первоначальной защиты. Мы рассматриваем IP-границу как интерфейс(ы) маршрутизатора, который представляет собой «первый переход IP» в организацию. Обычно это последовательный интерфейс маршрутизатора. Если организации имеют более одного IP-шлюза в Интернет, этот раздел применяется ко всем шлюзам. На рис. 4-1 показан пример пограничного IP-интерфейса.
Рисунок 4-1: Пример интерфейса границы IP
В следующих разделах обсуждается защита пограничных маршрутизаторов от угроз отказа в обслуживании с независимой от поставщика точки зрения (за исключением списков контроля доступа).
Выбор сетевой операционной системы (NOS)
В целом, если вы не являетесь интернет-провайдером, которому нужны новейшие и лучшие функции на пограничном маршрутизаторе, вам следует использовать самую последнюю версию NOS для «общего развертывания» вашего поставщика. Версии общего развертывания, как правило, хорошо протестированы и активно используются другими организациями, поэтому в них меньше всего ошибок, сбоев или уязвимостей в системе безопасности.
Если вам необходимо использовать более новую сетевую операционную систему или более полнофункциональные версии NOS, выберите версию с минимальным набором необходимых функций и служб. Использование сетевых операционных систем со всеми новейшими функциями может привести к возникновению множества уязвимостей или ошибок, которые можно устранить, применив минималистский подход.
Вы также должны настроить маршрутизатор с максимальным объемом памяти, который может принять маршрутизатор. Дополнительная стоимость дополнительной памяти незначительна по сравнению с общей стоимостью маршрутизатора, а гибкость и повышенная производительность против атак типа "отказ в обслуживании" достигается за счет использования большего объема памяти.
Если ваш поставщик предоставляет цифровые подписи для загружаемых образов NOS, вам следует проверить цифровую подпись перед загрузкой образа NOS на ваши сетевые устройства. Хотя мы еще не слышали о том, чтобы поставщик сетевого оборудования распространял скомпрометированные образы программного обеспечения (с встроенным троянским конем или другим вредоносным ПО), это лишь вопрос времени, когда это произойдет. Избавьте себя от мучений и всегда проверяйте цифровые подписи перед загрузкой программного обеспечения!
Отключение опасных или неиспользуемых служб
Одним из наиболее важных шагов в обеспечении безопасности пограничного маршрутизатора является отключение "по умолчанию" или неиспользуемых служб. Многие маршрутизаторы поставляются с конфигурацией по умолчанию, в которой включены ненужные или опасные службы. См. Таблицу 4-2, в которой показаны основные службы, функции и риски безопасности при включении этих служб.
Таблица 4-2: Потенциально опасные службы "по умолчанию" на маршрутизаторах/коммутаторах
Службы узла TCP/UDP
Эхо, сброс, зарядка и т. д. в стиле Unix
Наводнение/DoS-атака или раскрытие информации
Другие маршрутизаторы могут загружаться с этого устройства
Может открыть дыру в безопасности
Запрос удаленного пользователя в стиле Unix
Ненужное раскрытие информации
Удаленное управление устройствами
Вторжение; фильтровать доступ при необходимости
Удаленное управление устройствами
Вторжение/разглашение информации; фильтровать доступ при необходимости
Маршрутизация IP-источника
Заставляет пакеты использовать альтернативный путь к месту назначения
Может помочь в спуфинге или перехвате соединений
Направленная IP-трансляция
Указывает локальную сеть для трансляции трафика
Может использоваться в DoS-атаках/флуд-атаках
Маршрутизатор отправляет переадресацию ICMP в ответ на определенные IP-пакеты
Помогает злоумышленникам отображать топологию сети
Маршрутизатор отвечает на недопустимые IP-адреса назначения
Помогает злоумышленникам отображать топологию сети
ICMP используется для эха/ответа, запроса маски, запроса метки времени и т. д.
Для раскрытия информации о сети и топологии карты можно использовать различные коды ICMP
Маршрутизатор может выполнять прокси-разрешение адресов уровня 2
Растворяет безопасность между сегментами локальной сети
Маршрутизатор может разрешать доменные имена
Рекурсивное отравление кеша, раскрытие информации или отказ в обслуживании
Некоторые из этих служб могут значительно упростить удаленное управление с помощью инструментов управления сетью (HP Openview, Cisco Works и т. д.), и вы можете запустить их. Если это так, следует использовать надлежащие механизмы контроля доступа, чтобы ограничить доступ авторизованным пользователям и системам. Если эти службы не являются явно необходимыми, их следует полностью отключить. Контроль доступа обсуждается в следующем разделе.
Политика управления доступом к пограничному маршрутизатору
Самый надежный способ защитить границы IP-адресов — использование списков контроля доступа (ACL). ACL могут применяться для пакетов, поступающих на интерфейс или покидающих его. Большинство маршрутизаторов предоставляют надежные механизмы ACL для фильтрации на уровне 3 (уровень IP) и более высоких уровнях, включая уровень 7 (уровень приложений). Ваша политика безопасности будет определять IP-адреса и протоколы, которым разрешено проходить ваш пограничный маршрутизатор или которые направлены к вашему пограничному маршрутизатору. Независимо от того, управляет ли граничным маршрутизатором поставщик услуг Интернета или организация, вы должны обеспечить реализацию надежных списков контроля доступа. Вы можете подумать об этом, выполнив три простых шага:
Защитите трафик к маршрутизатору.
Защитить трафик из-за пределов маршрутизатора (Интернет) в сеть.
Защитите трафик из внутренней сети во внешний (Интернет).
Политики интернет-провайдеров регулируют маршрутизацию и доверие между Интернетом в целом и его клиентами. Иногда эта политика доверия или маршрутизации может быть использована в интересах злоумышленника. Злоумышленник может использовать границу IP-адресов с помощью сканирования портов, подмены или использования других методов для получения более конкретной информации о хостах за пограничным маршрутизатором, включая брандмауэр.
IP может быть простым; однако в сочетании с TCP он обеспечивает квитирование связи, постоянное подключение и аутентификацию отправителя посредством кругового обхода, необходимого для «установления соединения». Эксперты знают, что большинство технологий прикладного уровня полагаются на TCP для обеспечения аутентификации на уровне передачи, и эти характеристики делают TCP серьезной мишенью.
Пограничный маршрутизатор выступает в качестве первой линии защиты до того, как пакеты будут отфильтрованы брандмауэром. Предоставление контроля доступа как на пограничном маршрутизаторе, так и на брандмауэре является частью передовой практики, известной как «многоуровневая безопасность». Разработка всеобъемлющей политики безопасности выходит за рамки этой книги; однако мы настоятельно рекомендуем занять позицию «если трафик не явно разрешен, он запрещен». Другими словами, ваша позиция безопасности по умолчанию должна заключаться в том, чтобы запрещать весь трафик, если вы явно не настроите ACL, чтобы разрешить указанный трафик. Это требует дополнительной работы на начальном этапе разработки ACL, но это наиболее безопасная позиция.
Учитывая, что политика безопасности организации зависит от ее конкретной среды, мы попытаемся предоставить только некоторые стандартные записи ACL, основанные на передовом опыте. Синтаксис списков ACL зависит от поставщика вашего маршрутизатора, но для простоты мы включаем записи расширенного списка доступа в стиле Cisco. Для целей этого упражнения предположим типичный пограничный маршрутизатор с одним интерфейсом T1 (последовательным) для подключения к Интернет-провайдеру и одним интерфейсом Ethernet, подключенным к брандмауэру. Этот ACL будет применяться входящим на интерфейсе T1 (трафик, поступающий от интернет-провайдера в организацию).
Во-первых, мы запрещаем входящий IP-трафик с исходным адресом с нашим IP-префиксом (192.0.2.0/24) на любой внутренний пункт назначения (предотвращает подделку наших собственных адресов):
Далее мы разрешаем входящий TCP-трафик, являющийся частью ранее установленного исходящего соединения. В идеале, при надлежащей фильтрации входящего и исходящего трафика вы можете исключить запись установлено, но на практике это может быть трудно сделать:
Определение пакета, принадлежащего «установленному» соединению, зависит от поставщика. Однако большинство маршрутизаторов будут рассматривать пакет как часть установленного соединения, если установлен бит ACK. Это дает злоумышленникам возможность просто завалить маршрутизатор пакетами SYN-ACK, что может привести к атаке типа «отказ в обслуживании».
Поскольку маршрутизаторы обычно не могут сохранять «состояние» потоков UDP (UDP не требует установления соединения), мы явно разрешаем ответы UDP DNS, предполагая наличие предыдущего исходящего запроса:
Пропуск пакетов с исходным портом UDP/53 (DNS) через пограничный маршрутизатор с любого исходного адреса сопряжен с небольшой опасностью. Злоумышленники теперь могут исследовать сеть за пограничным маршрутизатором в поисках активных хостов и доступных сервисов, передавая все пакеты через порт 53. Разумным решением этой проблемы является настройка внутренних систем на запросы к внутреннему DNS-серверу и разрешение только этот внутренний сервер для отправки и получения DNS-запросов и, при необходимости, для передачи зоны.
Далее мы запрещаем наиболее опасные формы ICMP, но разрешаем безобидные формы (вы можете фильтровать ICMP более жестко, чем это, в зависимости от вашего уровня паранойи):
Один конкретный тип ICMP, который вам действительно следует разрешить, — это ICMP Type 3, Code 4 (требуется фрагментация ICMP и установлен бит «не фрагментировать»). Сегодня многие приложения выполняют обнаружение MTU пути (PMTUd), чтобы определить минимальное значение MTU на заданном сетевом пути. Отправитель устанавливает в пакете бит «не фрагментировать». Интерфейс маршрутизатора с меньшим MTU, получающий этот пакет, отправит ICMP-сообщение типа 3, код 4, сообщая отправителю о необходимости уменьшить MTU. Если вы заблокируете эти сообщения ICMP, вы можете непреднамеренно вызвать отказ в обслуживании для приложения.
Теперь мы отклоняем любые пакеты с поддельными исходными адресами, включая адреса автоконфигурации и диапазон RFC 1918. Вы можете добавить сюда более конкретные префиксы, если только вы не подписаны на какой-либо вид «канала богона» (подробную информацию о «зарезервированных» и «адресах богона», а также «канале богона» см. в главе 2):< /p>
Предыдущие записи ACL могут не понадобиться, если вы используете одноадресную переадресацию по обратному пути (uRPF). Дополнительную информацию о uRPF см. в главе 2.
Далее мы запрещаем весь необоснованный трафик TCP и UDP, который еще не разрешен явным образом или не является частью установленного соединения:
Наконец, наша позиция безопасности по умолчанию такова: "если это не разрешено явным образом, это запрещено":
Окончательная форма нашего основного списка доступа выглядит следующим образом:
Помните, что ACL-списки обрабатываются последовательно, сверху вниз. Как только совпадение найдено, оставшаяся часть ACL не обрабатывается. Таким образом, порядок операторов разрешения и отказа имеет решающее значение.
Этот список управления доступом является разумным началом, если вы собираетесь добавить дополнительные системы за маршрутизатором, к которым будут обращаться хосты в Интернете. Лучше всего добавлять дополнительные операторы разрешения после записи, разрешающей ответы на входящие запросы DNS:
Если у вас не было служб, размещенных за пограничным маршрутизатором или брандмауэром (крайне редко), и если входящий TCP-трафик был частью ранее установленного исходящего соединения, и если вам не нужны приложения на основе UDP, за исключением DNS, следующий ACL должен быть достаточным:
Фильтрация исходящего трафика (исходящего трафика) на пограничном маршрутизаторе так же важна, как и фильтрация входящего трафика. В этом году это стало серьезной проблемой, поскольку вирусы, черви и троянские программы распространяются с угрожающей скоростью. Мы обнаружили, что хотя внутренняя система может быть заражена, при надлежащей фильтрации исходящего трафика на пограничном маршрутизаторе эти типы программ во многих случаях не могут распространяться дальше. Фильтрация исходящего трафика более подробно рассматривается в главе 9.
Если вы не хотите иметь дело со сложной фильтрацией префиксов RFC 1918 и дополнительных богонов, вы можете использовать "канал богонов" от Cymru, подробно описанный в главе 2.
Настройка административных служб
Telnet — опасный протокол, поскольку он не зашифрован. Он не предоставляет механизма для защиты пароля, используемого для входа в систему. Мы рекомендуем отключить telnet-доступ к пограничному маршрутизатору или, по крайней мере, не разрешать доступ из Интернета. Если злоумышленник отслеживал связь между удаленным пользователем и маршрутизатором, маршрутизатор наверняка был скомпрометирован. Даже если доступ к маршрутизатору осуществляется только внутри сети организации, мы рекомендуем использовать SSH, который обеспечивает надежное шифрование для защиты паролей и всего потока данных. Некоторые люди предполагают, что, поскольку SSH использует шифрование, разрешение доступа через Интернет допустимо. Мы рекомендуем запретить весь удаленный доступ к пограничному маршрутизатору из Интернета и вместо этого разрешить доступ из доверенной сети через VPN-подключение.
Читайте также: